情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問3: エクスプロイトコードの説明はどれか。

問題本文

エクスプロイトコードの説明はどれか。

選択肢

• ア.攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。
• イ.マルウェア定義ファイルとも呼ばれ，マルウェアを特定するための特徴的なコードのことであり，マルウェア対策ソフトによるマルウェアの検知に用いられる。
• ウ.メッセージとシークレットデータから計算されるハッシュコードのことであり，メッセージの改ざん検知に用いられる。
• エ.ログインのたびに変化する認証コードのことであり，窃取されても再利用できないので不正アクセスを防ぐ。

正解

ア. 攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。

解説

エクスプロイトコードは攻撃コードとも呼ばれ、特定の脆弱性を突いて任意コード実行や権限昇格などを引き起こすコード。攻撃に悪用される一方、PoCとして脆弱性の存在確認や対策検証にも使われる。アがこの両面を正しく述べている。実務では脆弱性管理で、エクスプロイト公開の有無がリスク評価の重要指標となる。

選択肢ごとの解説

• ア.脆弱性を悪用する攻撃コードで、使い方により脆弱性の検証にも役立つというエクスプロイトコードの説明で正しい。
• イ.マルウェアを特定する特徴コードはシグネチャ(定義ファイル)の説明で、エクスプロイトとは異なる。
• ウ.メッセージと秘密データから計算するハッシュで改ざんを検知するのはMAC(メッセージ認証符号)の説明で誤り。
• エ.ログインのたびに変化し再利用できない認証コードはワンタイムパスワードの説明で、エクスプロイトではない。